linuxipsec配置

‘壹’ 如何在linux下配置IPsec

在Linux2.6内核中自带了IPSEC的实现,这样就不用象2.4那样打补丁来实现了。该实现包括以下几个部分: PF_KEY类型套接口, 用来提供和用户层空间进行PF_KEY通信，代码在net/key目录下，前面已经介绍过；安全联盟SA和安全策略SP管理，是使用xfrm库来实现的，代码在net/xfrm/目录下定义；ESP，AH等协议实现，在net/ipv4(6)下定义；加密认证算法库，在crypto目录下定义，这些算法都是标准代码了。至于内核是如何实现ipsec的，这个需要自己查源码自己研究了。。

‘贰’ linux服务器可以和cisco防火墙架设IPsec吗

ipsec VPN 可直接穿越互联网或其他网络，快速地到达目标网络 。
你可以把目标和源 想成2个点，只要能通过IPSEC VPN 到达目标的网络就能快速访问LINUX服务器，就相当于你的主机和目标服务器在同一网络中。
具体配置请参阅
http://wenku..com/view/f631e184b9d528ea81c7797f.html

‘叁’ linux l2tp是怎么使用ipsec加密的

羌无意识肿 muwtuo739

‘肆’ 怎么查看linux的ipsec认证

你进入自己的主页，（不是用户管理中心） 然后左上角就有，视频认证 已认证， 然后你点那个已认证就可以看自己的视频认证了

‘伍’ 谁有linux学习的好经验啊，我比较盲目，不清楚该重点学习哪方面

unix学习方法-高手之路
姜道友（二〇〇七年二月十四日）

1. 基础学习.................................................... 1
2. 配置服务器.................................................. 1
3. 软件安装与服务器管理........................................ 2
4. 更换思纬.................................................... 2
5. 学习其它unix系统............................................ 2
6. 学习shell编程............................................... 3
7. 学习C编程................................................... 3
8. 制作自己的unix发行版........................................ 3
前言：
对于一些想学习linux及正在学习linux系统的人，非常希望成为linux甚至unix高手，本人从事unix方面的工作很多年了，想介绍一下自已的经验
Unix有很多分支，这里不再赘述，一般来说主要包括：Linux、Solaris、HP-UNIX、AIX、SCO、BSD、AS400等等系统，一般人精通2到3门类即可，触类旁通即可很快掌握其它系统。下面是本人的经验：
1. 基础学习
买一本Linux基础方面的书籍，主要讲述基本理论及基本命令，如：《Linux基础》、《Redhat 9.0系统管理员完全学习手册》；或者在网上下载一些基础方面的资料。系统地看完一本书，并在linux系统中（可以用vmware安装一个虚拟机）练习基本命令。（之所以从Linux开始，是因为相对其它unix系统，Linux相对比较简单或容易入门）
2. 配置服务器
可以尝试配置一台web服务器或FTP服务器或邮件服务器（sendmail）或其它应用服务器如：vpn（pptp或ipsec）。刚开始配置时不要追求完美，只要实现基本的功能即可。这部分基本上照搬书的步骤即可实现。
3. 软件安装与服务器管理
可以试着安装一些源码程序（不要使用rpm软件包安装或带有install的程序安装），通过./configure make make install等步骤掌握程序的编译与安装方法。同时掌握Linux服务器日常管理方法：如日志管理、进程管理、备份与恢复方法、用户管理、权限管理等等，基本成为一个Linux系统管理员。平时多访问linux技术方面的网站或论坛，也可增加你的技术和经验。
注：很多人学习或使用Linux多年，但水平仅仅停留在这里
4. 更换思纬
如果系统了学习了linux基础方面的知识并简单配置了一些应用服务器，并掌握了命令的基本用法，这时需要更换思纬，学习一下Linux架构方面的知识，并深入了解Linux系统体系结构，如etc目录是什么作用 /usr/bin /usr/spool /var /opt是什么作用，ext3文件系统有什么特点等等。从思纬上区别看待Linux系统。同时可以试着编译一下内核，并熟悉内核中的功能模块，通过对内核的认知，可以让你深入了解linux核心的一些技术。
5. 学习其它unix系统
如果基本上熟悉了Linux系统，现在可以学习其它系统了，如：Solaris、AIX、BSD…………等等，毕竟很多重要服务器不是Linux系统。很多系统可以在虚拟机上安装，如安装一台Solaris x86虚拟机或从网上下载SCO虚拟机或…………在虚拟机上系统地学习该系统，熟悉它的架构，并与Linux比较一下有什么不同。对于一些专用的系统，网上也有好心人公布测试机信息，你可以远程登录学习（不要删文件或破坏哟）。在学习其它系统过程中，可以访问相关系统的BBS论坛，看一下别人的问题是怎么解决的。如果你很熟悉Linux系统，学习其它unix系统应该很快。当然如果你所在的公司有一些服务器如：SUN880或HP服务器或IBM服务器等，你应该很快可以成为有经验的solaris/HP-UNIX/AIX高手的。
6. 学习shell编程
作为一个真正的优秀unix系统管理员，不懂shell编程是绝对不行的（注意是绝对），因为在unix系统中，很多是shell脚本程序，掌握了shell编程技术，你可透彻地去了解unix系统中程序的运行情况。而且对于unix系统，很多系统管理可以通过编写shell脚本程序来实现，如自动备份、自动检查网络断线并发邮件通知、自动检查VPN状态、收集PPTP用户拨入信息等等。精通shell编程，让你轻松灵活地管理和驾驭Unix系统。
7. 学习C编程
这一步我就不多说了，毕竟达到这一层次的unix系统管理很少（开发人员除外）。Unix中的很多程序是通过C编写的，掌握编程技术，你可以编写unix下的应用程序。
8. 制作自己的unix发行版
如果对Linux进行内核编译、程序裁减、系统优化等，你可以制作自已的unix系统。象现在Linux发行版太多了，但都是Linux内核，只是文件与系统组织方式不一样而已。我们单个人是无法制作象Redhat或debian这样的系统，但可以制作小的专用系统，如制作专用的web服务器或专用的网关防火墙系统。象IPCOP（www.ipcop.org）就是这一类，大家可以参考或受到启发。

写给想成为Linux 高手的人们

首先,我想引用一下别人说过的一句话:除非在过去的十年你一直生活在山洞里,否则你一定听说过linux.
是的,现在听说过linux,会一点linux基本操作的人多如牛毛,然而真正能用linux做一点事情的确少之又少,这就造成了现在的状况:各大 linux论坛十分热闹,但我国linux到底是什么原因造成了这样的状况? 纠其原因,只有两个字:浮燥!
如果在论坛里来一次调查投票,看一下在论坛里的人到底有多少人手头有一本以上的正规linux教材.我想这个数字不会超过30%. 如果再问一下,有多少人完整的读过各发行版自带的入门文档,系统定制文档,系统管理文档和系统安全文档,恐怕这个数字不到10%. 如果进一步再调查一下究竟有多少人静下心来学习过操作系统和计算机网络等和linux学习十分密切的专业课程,那么恐怕只有3%的数字都不到了.
这让我想到了98年前后IT泡沫时代的中关村.在中关村的大街小巷,到处是一个个意气分发牛哄哄的IT精英.他们戴着默镜,剔着小平头,张口闭口都是网络,安全,信息,黑客,代码,产业.T恤背后写着三个字:别惹我! 然而最后IT泡沫一过,只有那些真正肯安安心心静心学习的人在IT界存活了下来.

现在国人学习linux的状况也是这样,学linux的人个个都意气分发,以为学习linux会用linux是多么了不起.学了一点皮毛就认为很牛了.但是那些企业用人单位却很难找到真正适合的linux人材.因此,我想就目前的状况发表一下我的看法.

首先,这篇文章是写给那些想成为linux高手,并真正想用linux做些事情的人.如果你只想做一个菜鸟,没事的时候在你双系统启动的电脑上偶尔选一次 linux,然后没事进去偷着乐,那就请你自便.另外,我想说明,和真正的牛人比起来,我自己还处于一个比较低的水平.我没有读过内核源代码,不知道 linux工作原理等等,但是通过摸索,至少我已经找到了通往高手的道路的方向.因此还是想说两句.

1,linux不是玩具
如果你想系统的学习linux,你必需清楚的认识到这一点.现在有很多人,号称是linux爱好者,但是他们大部分的事情还是用windows 做,而linux只是作为一个随便玩玩的系统.他们懂得一些linux的基本操作,知道有linux这个玩艺,也因为经常听人家说linux好就咬定了 linux就是好.只要有人说linux比windows差,那么他们就奋起反驳,他们也看不起用windows的人,认为用windows的人水平低. 但是自己用电脑的大部分时间还是用windows并且把重要的文件都放在了windows分区,因为他们骨子里只把linux当做玩具,没有真正领悟 linux的精髓所在.如果你真正想系统的学习linux,想用linux有所作为,那么请忘记windows的思维方式,慢慢感受和习惯linux 的操作方式,总有一天你会真正体验到他的奥妙所在,从而从自己内心深处喜欢他,使用他,而不是为了赶时髦或向人炫耀而使用他.

2,手头有一本好的入门教材吗

"如果你还没有好好的读完过一本linux安装及入门教材就不要到初学者论坛来问题!因为你连问问题的资格都没有! " 这是我的一个比较偏激的观点.

如果你现在开始下决心学习linux了,那么第一件你要做的事情是到书店去挑一本好书.而不是到论坛社区去问该用什么版本,该如何学习 linux.一本好的入门教材可以让你快速领悟linux的操作方式,系统的基本使用等等.而且都是前人总结经验写出来的,他可以帮你搭起一个学习 linux的框架,对linux有一个总体的认识.就好比建一撞大楼前先打好地基,搭好混凝土框架.以后就可以慢慢往这个框架里添砖加瓦,最后建起大楼. 而那些想急于学习的,不想看书,只想靠混论坛来学习linux知识的人,就好比建一撞大楼,今天建好第一层,然后第一层就要全部粉刷好,装修好,家具买好住进去,然后第二天再开始建第二层.这样没有整体规划的学习是学不好linux的,最后的结果是浪费自己的时间,也浪费别人的时间. 如果你不信, 可以让实事去告诉你,以一年为限,你和你的一个朋友同时从0开始学linux,计算机基础差不多.你去买几本好书自己慢慢看边看边做实验,让你的朋友整天到各大论坛瞎混零散的学些linux知识.也许一开始,你的朋友会比你懂得多,但是一年以后你的水平肯定在你的朋友之上. 在初学阶段,不要随便在论坛上发问,多看书是根本,即使真的非问不可的问题,也要先自己动手察资料解决.实在不行再来问,高手不会鄙视菜鸟,因为每一个高手都是从菜鸟过来的,他们都知道菜鸟的苦衷.但是高手会看不起那些自己不愿动手动脑不会学习解决问题而只想得到现成答案的人.那样的人会被高手在心里暗骂成不配用linux的蠢货.
你需要以下几种书:
一本好入门教材->一本linux指令参考手册->linux系统管理手册->讲解linux系统原理的书.

一开始,你只需要入门教材就可以了.并且严格安教材的讲解去学习,不要一天到晚想着去装显卡驱动啦,装游戏啦,装软件啦,这些都没有必要.你就当你自己的电脑不能上网,只能通过看书学习.慢慢看书,稳抓稳打.慢慢地就融会贯通了.这时候你再到linux初学者论坛去看看,你在那里早已经是高手了.

另外,一开始你要选定一本入门教材,但是不能只看一本,因为有些书上讲的,可能是另外的书上没有的.因此,重点选一本教材看完.然后再看两三本入门教材浏览一下.作为对第一本书的知识的扩充和巩固. 在看书过程中,如果你有什么不懂的,不要急于上论坛问,自己认真看几次,实在不懂没有关系,把问题放在那里.不要钻牛角尖不懂不肯放手,这种精神是好的, 但是方法是错误的.你尽管学下去,也许你看完书本以后的内容,就对前面不懂的内容豁然开朗了.这是在学习linux中常有的情况.

另外,现在很多入门书籍是针对非技术型用户的.(我把那些对linux本身不感兴趣,只想用他来上网,听音乐和打字的人称为非技术型用户,而把对 linux本身感兴趣的人称为技术用户)
这些针对非技术型用户的入门书籍几乎通篇都是插图,讲解的内容都是如何在图形界面下操作.这些书籍并不能帮你成为一个高手.反而会让你养成倚赖鼠标和图形界面操作的习惯以后很难改掉.因此不能看这些书,一定要买那些一开始就从系统基本机构基本命令开始讲解的书籍.我看过的第一本linux入门书籍共有十多章,但是他从第十一章开始才大致的讲解了一下图形界面的知识.我很感谢这本书,让我一开始就脱离了windows的思维方式,给我以后的进一步学习带来了很大帮助.
完成以上的内容,你就完成了建大楼打地基建混凝土框架的过程了.可以接下来进一步学习了.

3,你看完系统自带的文档了吗?

当你完成入门的过程后,就可以开始读其他的文档,然后到论坛的精华区看看,向你建起来的大楼框架中添砖头了.当然 ,首先要读的,还是系统自带的文档.

绝大多数linux发行版都自带非常详细的文档.比如我一直在用的redhat,他有从系统安装到系统安全,针对不同层次的人的详尽文档.静下心来,把这些文档读完,比看任何论坛的精华区都有用.书籍和文档就好比是你每天都离不开的一日三餐,论坛区的精华文档就好比是点心和水果.你可以不吃点心和水果,但是决不能不吃正餐.

当然,不能为看文档而看文档,你一定要边看边安文档中说的做试验验证.这样才印象深刻,否则看过就忘记了等于没有看.

另外,如果真心想学习linux就不要吝啬,也不要害怕丢失数据而不敢做实验.我建议你去买一个小的二手硬盘,然后放开手干.不要怕丢失数据而不敢做,如果你没有学会技能,将来做了linux系统管理员或者网络管理员到那时因为不会而丢了数据就是大事情了.

4,学习linux不是逛自由市场.

经常看到有人问用什么版本的linux好,其实只要你认真学习无论什么版本都挺好的.要知道,开发linux发行版的人都是通读过linux内核代码,对 linux原理极其精通的人,而且每一个开发团队都对他的发行版做过测试后放出的.那些国际知名的大品牌更是如此. 因此,讨论什么版本好并无意义,关键是你是不是真心想学.不过,为了避免曲高和寡,最好选用的人多的版本,比如redhat manrake suse 等等. 国内有一两个 linux版本做的也不错,但是国内的linux都是面向非技术型用户开发的,因此,如果你想成为高手,建议不要用国内的版本.
学习linux不是逛自由市场,选定版本就要静下心来学习.不要今天换版本明天要升级.这样对你没有好处.我见过一些人号称用过十几种甚至几十种 linux,向人谈论起来头头是到,好像懂的很多,但是如果你让他去用linux搭建一个web服务器,做一个linux网关,他就什么都不会了.他们把时间都浪费在了版本的转换上了.

5,你能看懂英文文档吗?

谈论这个问题,我有点低气不足,因为我自己的英语很差.但是,至少我可以无障碍的读完一般的计算机文档.计算机英语很简单,只要熟悉了计算机专业英语,高中毕业的水平就可以轻松的阅读计算机文档了.如果你的英语实在太差了,连最简单的计算机英语文档都看不懂,那么在学习linux的同时,请赶紧学习英语. 也许你说,你可以看翻译的文档,当我还是一个菜菜鸟的时候,也是这样认为的.但是,后来才发现,如果你想深入学习linux,看不懂因为文档实在是太难了.写的最好的,最全面的文档都是英语写的,最先发布的技术信息也都是用英语写的.即便是非英语国家的人发布技术文档,也都首先翻译成英语在国际学术杂志和网络上发表.你去看看各大软硬件生产商的官方网站,有哪一个不是用英语作为其主站的? 长期用windows的人会很不习惯这一点,装个软件还要看半天文档,应为windows用起来实在太简单了.但是如果你想学习linux就必需学会看各种文档,而大部分的文档都是用英语写的.我发现很多人甚至连man文档都不会看,有什么命令不会用了就跑到论坛上来问,还装出一副可怜相,乞讨一个命令的用法.有这些时间还不如自己看看man文档,即使你一个一个单词的翻译成中文再自己看都比问别人强,因为别人的回答再怎么详尽都比不上man文档详尽.安装一个新的软件时先看README,再看INSTALL然后看FAQ,最后才动手安装,这样遇到问题就知道为什么.否则,说明文档都不看,结果出了问题再来找答案反而浪费时间! 古人说欲速则不达就是这个道理! 真的，如果你man能搞懂，就具备了一个IT人员的基本功了。

6,忘记windows的思维方式

思想性的转变比暂时性的技术提高更有用,因为他能帮助你加快学习速度.现在很多人用linux.但是,他们用linux的方式完全是 windows的那一套方式.骨子里都是windows的思想.这样是不能领悟linux的精髓体验不到他的优越性的.我前几天看到一个朋友要把刚装了不到2天的mandrake 10 删除掉,我问他为什么,他说太慢了,受不了,还是用windows快.然后我留意了一下他用linux的方式,他的所有操作都带着windows的影子. 他连最基本的删除,移动文件这样的操作都要用鼠标,这样当然慢了!最后我只好说,你删除吧,你不适合用linux, linux不是这样用的.各位可以去看看那些linux高级用户,他们是怎样操作的.通常他们都是在X上开一个xterm或者rxvt终端,80%以上的操作都在这个终端下用命令完成,因为 linux的命令行十分强大,速度也十分快,简单的几个命令的组合就能完成非常复杂的操作.举一个例子:linux 的常用命令find,去看看man文档,初学者一定会觉得太复杂而不原意用,但是你一旦学会了就对他爱不释手.他的功能实在太强了,在配合exec参数或者通过管道重定向到xargs命令和 grep命令,那么他能完成非常复杂的操作,如果同样的操作你用图形界面的工具来完成,恐怕要多花十几陪的时间.因此linux高手经常会说:如果没有 find和grep我们还怎么活.但是现在大部分的linux初级用户受到windows影响都喜欢用图形界面的工具来完成一些基本的操作,我并不是说图形界面不好.只是由于linux和windows设计思想的不同他们的操作方式也有很大不同.在windows下用图形界面操作会比敲命令快,但是 linux是一个命令行组成的操作系统,他的精髓在命令行! 无论图形界面发展到什么水平这个原理是不会变的!

7,入门以后多学命令

当你看完了一两本入门书籍后就应该扩充自己的知识,多学习linux命令,但是不要在初学阶段就系统的学习linux命令,初学阶段只要学会书上提到过的命令就可以了.单靠学习各种命令而成为高手是不可能的,但不会命令而成为高手也是不可能的.这就好比学英语,什么语法都不懂,只捧着单词手册背单词是学不会英语的,但是没有单词词汇量英语水平也提不高的.
在linux中学习命令的最好办法是学习bash脚本编程.bash脚本比起其他语言来学习简单,但是功能却十分强大.通过学习bash编程,能让你掌握大量的linux命令.另外,买一本命令参考手册是必要的,遇到不知道怎么用的命令可以随时查询,这要比察man文档快.特别适合英语不好,看不懂man 文档的人.

在linux中,命令可分为系统基本命令和应用程序命令.系统基本命令是所有的unix类系统都支持的命令,走到哪都不变,只要是unix类系统上就肯定有.比如ls,rm,rmdir,cp,cd,mv,cat等等.这样的基本命令大约有200个,这些命令是一定要掌握的,我买了一本指令参考手册>这本书非常好,他根据命令的常用指数分类,标明3颗星的为最常用命令,一定要掌握,两颗星的其次,1颗星的只要知道一下就可以了虽然现在都已经 FC3了,但是经典的UNIX基本命令几十年来都没有变过!另外有些命令是linux特有的或者是某一个应用程序的可执行文件比如xmms播放器.这些只要知道就可以了,不知道也无所谓.有些命令比较少用,因此通常都记不住他的用法,对于这些命令至少要知道有这个命令,脑子里有印象,需要用的时候察一下手册就可以了,但是决不能不知道这个命令的存在!

8,学会管理系统

等到有了基本知识,也掌握了一定量的命令用法后,就可以进一步学习管理系统.这些内容入门书上会有,但是不会很深入.要深入的学习系统管理,就要去买一本类似之类的书.认真的看书并做实验,可以让你很快的进步.学习配置各种网络服务器,用linux搭建网络,这些都是学习linux系统管理和网络管理的好方法. 到了这个阶段就可以经常上网察察资料,看发布软件的官方网站文档和FAQ,看看论坛精华区文章.但是不能本末倒置,多看书还是根本.书籍和官方文档可以让你系统的学习,但是论坛可以让你学到一些小知识,小技巧.我本人也经常到论坛上来看看,因为即便是一个新手,也可能会发现一些你所不知道的小技巧,看论坛可以学到这些小技巧.但是我看文档和看论坛的时间比不会小于4:1 . 可以把平时积累的问题一次在论坛上发问. 但是初学的时候不要频繁上论坛,因为你要问的问题都在书上写着,耐心一点,你很快就能看到了.

9,了结系统结构

等你有了一定的系统管理知识,知道了/etc下那些配置文件有什么用,知道了一般的网络服务器如何配置后,就可以去了解系统结构了. 了解系统结构不是要你去看什么文件夹放什么内容,而是要学习一些原理性的东西.比如系统是如何引导的,引导后启动了那些东西.系统中哪些是最基本的库文件,有什么用等等.学习系统结构的最好方法是自己做一个linux系统,再也没有什么能比自己做一个linux系统更能学习系统结构的了.LFS (linux from strach)可以教你从源代码自己编译一个系统.通过自己编译一个系统,你就可以了结linux系统结构,知道哪些文件是干什么用的,以及他们如何协调工作.当然,在你达到LFS水平之前还有很多事情要做,比如学会如何编译安装源代码发布的软件和编译新的内核等等.到了LFS水平,那么在大多数 linux论坛上你就可以被人称作"高手"了!到了这个地步,就相当于一撞大楼已经基本建好,但是还需要粉刷和装修,真正的细活还在后面!

永远记住天外有天,人外有人的道理.即便有了LFS水平,在那些搞linux系统开发,通读过linux内核代码的人看来你还是一个菜鸟.因此, 请时刻保持虚心的态度.即便是在 论坛上只有一颗星级别的人,也有可能是一个潜在的,真正的高手! 大多数真正的高手平时都在搞研发工作,哪里有时间上论坛啊! 倒是有很多大学还没毕业的学生,整天混在论坛上.

10,学习专业课程

如果你不是计算机专业的,而想把linux学好,就一定要学习专业课程.学习微机原理,操作系统,计算机网络等等专业课程是必需的.为什么同时开始学习 linux,有些人学的非常快,不到半年就成了高手,有些人玩来玩去还玩不出名堂,玩了一两年还是菜鸟? 因为那些学得快的人有基础,他们都学过专业课程.同样一篇文档,没有基础的人可能看了三遍还不明白,基础扎实的眼睛扫两下就懂了! 这就是专业和非专业的差别! 因此,要想达到更高的境界就一定要学习基础的专业课程. 学习过linux的人是需要基础的，很需要汇编，数据结构，算法，计算机组成原理。除了高校必开的课程，自己也要学习其他的知识。两者相辅相成，很重要！

11,保持虚心学习的态度

我想再重复一遍天外有天,人外有人的道理!
保持虚心的学习态度不仅能让你学到更多知识,而且会让你受人尊重.

在linux的世界里,如果你想靠混论坛,发水贴,换几颗星星增加一下级别,然后再面对菜鸟说几句牛哄哄的话来赢得别人的尊重是不可能的.即便是一个刚入门的菜鸟,也能分辨你回答问题的质量,从而知道你到底有多少水平. 另外,当你成了"高手"的时候,你也能从"菜鸟"那里学到很多知识.因为有很多问题是你从来没有想过的,认为自己肯定会的,但是实际遇到的时候会有困难. 而"菜鸟"们往往更善于发现这类问题.这就是中国人常说的"教学相长"!

在linux的世界里,越是水平高的人越谦虚,因为他们知道自己还有很多不知道的,而那些半瓶水就想晃荡的人反而自以为是,因为他们还不知道自己还有很多不知道的! 去看看,www.linuxdiyf.com 嵌入式开发和UNIX版块的牛人,他们很多都是有过好几年linux方面的工作经验,精通linux和unix的好手,但是每个人都保持着非常谦逊的态度,这些人是值得尊敬的。

本文转自 51cto 技术论坛

‘陆’ 在Linux中 ipsec.d 什么意思

什么是 IPsec？
IPsec 是 虚拟私密网络（VPN） 的一种，用于在服务器和客户端之间建立加密隧道并传输敏感数据之用。它由两个阶段组成，第一阶段（Phrase 1, ph1），交换金钥建立连接，使用互联网金钥交换（ike）协议; 第二阶段（Phrase 2, ph2），连接建立后对数据进行加密传输，使用封装安全载荷（esp）协议。参考：维基网络 IPsec 词条。
其中，第一阶段和第二阶段可以使用不同的加密方法（cipher suites）。甚至，第一阶段 ike 协议的第一版（ikev1）有两种模式，主力模式（main mode）和积极模式（aggressive mode），主力模式进行六次加密握手，而积极模式并不加密，以实现快速建立连接的目的。
第一阶段的 ike 协议有两个版本（ikev1/ikev2），不同的开源/闭源软件实现的版本均不同，不同的设备实现的版本也不同。再联系到第一阶段/第二阶段使用的各种不同加密方法，使得 IPsec 的配置有点黑魔法的性质，要么完全懂，通吃; 要么完全不懂，照抄。
设备/操作系统规格
这里主要介绍了设备/操作系统使用的 ike 版本及其特殊要求。
Linux
命令行客户端就是 strongswan 本身，因此完美兼容，支持 ikev1/ikev2 和所有加密方法的连接。因此如果用户只使用 Linux 命令行客户端，不使用各种移动设备也不使用 Windows，那么完全没有那么多事。
但 Linux 的图形界面客户端 NetworkManager-strongswan 目前只支持 ikev2 连接，必须使用证书或 EAP （各种加密方法都支持，包括微软的 MSCHAPv2）进行认证，不支持纯密码（PSK）认证。这并不是 strongswan 的错误，或者技术不行（开源总是走在技术最前沿的，毕竟命令行是支持的），而仅仅是体现一种选择：ikev1 被 strongswan 项目认为是该淘汰的协议，而 PSK 加密被认为是非常不安全的。参考 strongswan 维基 NetworkManager 词条。
Android
Android 和 Linux 不一样，只支持 ikev1。其它方面和 Linux 一样，甚至有好多种 IPsec VPN 配置模式可供选择。
iOS/Mac OS X
它们声明使用的 IPsec 客户端为 Cisco，实际为自己修改的 racoon。它只支持 ike 协议的第一版即 ikev1，可以使用证书或纯密码（PSK）认证，但必须辅之 xauth 用户名/密码认证。
该修改版的 racoon 会优先使用不加密的积极模式，而积极模式是 strongSwan 所不支持的。所以要使用主力模式。
iOS 6 还有一个“衔尾”故障：它在第一阶段握手时会把数据包拆分成小块（fragmentation），然后“加密”发送。然而这种加密仅仅是声明的，其实并未加密，这就导致 strongSwan 及其它标准服务器端/Cisco 设备无法解密。另外 ikev1 的 fragmentation 插件是闭源的。开源服务器端无法对这些小块进行重组。参考：Cisco VPN stop working after upgrading to IOS 6

‘柒’ linux中如何配置IPsec网络加密配置

在Linux2.6内核中自带了IPSEC的实现,这样就不用象2.4那样打补丁来实现了。该实现包括以下几个部分: PF_KEY类型套接口, 用来提供和用户层空间进行PF_KEY通信，代码在net/key目录下，前面已经介绍过；安全联盟SA和安全策略SP管理，是使用xfrm库来实现的，代码在net/xfrm/目录下定义；ESP，AH等协议实现，在net/ipv4(6)下定义；加密认证算法库，在crypto目录下定义，这些算法都是标准代码了。至于内核是如何实现ipsec的，这个需要自己查源码自己研究了。

‘捌’ 局域网问题 急！高手进！

一、用高级设置法预防Ping

默认情况下，所有Internet控制消息协议(ICMP)选项均被禁用。如果启用ICMP选项，您的网络将在 Internet 中是可视的，因而易于受到攻击。

如果要启用ICMP，必须以管理员或Administrators 组成员身份登录计算机，右击“网上邻居”，在弹出的快捷菜单中选择“属性”即打开了“网络连接”，选定已启用Internet连接防火墙的连接，打开其属性窗口，并切换到“高级”选项页，点击下方的“设置”，这样就出现了“高级设置”对话窗口，在“ICMP”选项卡上，勾选希望您的计算机响应的请求信息类型，旁边的复选框即表启用此类型请求，如要禁用请清除相应请求信息类型即可。

二、用网络防火墙阻隔Ping

使用防火墙来阻隔Ping是最简单有效的方法，现在基本上所有的防火墙在默认情况下都启用了ICMP过滤的功能。在此，以金山网镖2003和天网防火墙2.50版为蓝本来说明。

对于使用金山网镖2003的网友，请用鼠标右击系统托盘中的金山网镖2003图标，在弹出的快捷菜单中选择“实用工具”中的“自定义IP规则编辑器”，在出现的窗口中选中“防御ICMP类型攻击”规则，消除“允许别人用ping命令探测本机”规则，保存应用后就发挥效应。

如果您用的是天网防火墙，在其主界面点击“自定义IP规则”，然后不勾选“防止别人用ping命令探测”规则，勾选“防御ICMP攻击”规则，然后点击“保存/应用”使IP规则生效。

三、启用IP安全策略防Ping

IP安全机制（IP Security）即IPSec 策略，用来配置 IPSec 安全服务。这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。您可配置 IPSec 策略以满足计算机、应用程序、组织单位、域、站点或全局企业的安全需要。可使用 Windows XP 中提供的“IP 安全策略”管理单元来为 Active Directory 中的计算机（对于域成员）或本地计算机（对于不属于域的计算机）定义 IPSec 策略。

在此以WINDOWS XP为例，通过“控制面板”—“管理工具”来打开“本地安全策略”，选择IP安全策略，在这里，我们可以定义自己的IP安全策略。一个IP安全过滤器由两个部分组成：过滤策略和过滤操作。要新建IP安全过滤器，必须新建自己的过滤策略和过滤操作，右击窗口左侧的“IP安全策略，在本地机器”，在弹出的快捷菜单中选择“创建IP安全策略”，单击“下一步”，然后输入策略名称和策略描述。单击“下一步”，选中“激活默认响应规则”复选项，单击“下一步”。开始设置响应规则身份验证方式，选中“此字符串用来保护密钥交换(预共享密钥)”选项，然后随便输入一些字符（后面还会用到这些字符的），单击“下一步”，就会提示已完成IP安全策略，确认选中了“编辑属性”复选框，单击“完成”按钮，会打开其属性对话框。

接下来就要进行此新建安全策略的配置。在“Goodbye Ping 属性”对话窗口的“规则”选项页中单击“添加”按钮，并在打开安全规则向导中单击“下一步”进行隧道终结设置，在这里选择“此规则不指定隧道”。单击“下一步”，并选择“所有网络连接”以保证所有的计算机都Ping不通。单击“下一步”，设置身份验证方式，与上面一样选择第三个选项“此字符串用来保护密钥交换（预共享密钥）”并填入与刚才上面相同的内容。单击“下一步”即打开“IP筛选器列表”窗口，在“IP筛选器列表”中选择“新IP筛选器列表”，单击右侧的“编辑”，在出现的窗口中点击“添加”，单击“下一步”，设置“源地址”为“我的IP地址”，单击“下一步”，设置“目标地址”为“任何IP地址”，单击“下一步”，选择协议类型为ICMP，单击“完成”后再点“确定”返回如图9的窗口，单击“下一步”，选择筛选器操作为“要求安全”选项，然后依次点击“下一步”、“完成”、“确定”、“关闭”按钮保存相关的设置返回管理控制台。

最后在“本地安全设置”中右击配置好的“Goodbye Ping”策略，在弹出的快捷菜单中选择“指派”命令使配置生效。

经过上面的设置，当其他计算机再Ping该计算机时，就不再Ping通了。但如果自己Ping本地计算机，仍可Ping通。在Windows 2000中操作基本相同。

四、修改TTL值防Ping

许多入侵者喜欢用TTL值来判断操作系统，他们首先会Ping一下你的机子，如看到TTL值为128就认为你的系统为Windows NT/2000，如果TTL值为32则认为目标主机操作系统为Windows 95/98，如果为TTL值为255/64就认为是UNIX/Linux操作系统。既然入侵者相信TTL值所反应出来的结果，那么我们不妨修改TTL值来欺骗入侵者，达到保护系统的目的。方法如下：

打开Windows自带的“记事本”程序，编写如下所示的批处理命令：

@echo REGEDIT4>>ChangeTTL.reg

@echo.>>ChangeTTL.reg

@echo [HKEY_LOCAL_]>>ChangeTTL.reg

@echo DefaultTTL=dword:000000ff>>ChangeTTL.reg

@REGEDIT /S /C ChangeTTL.reg

另存为以.bat为扩展名的批处理文件，点击这个文件，你的操作系统的缺省TTL值就会被修改为ff，即十进制的255，即把你的操作系统人为地改为UNIX系统了！

DefaultTTL=dword:000000ff是用来设置系统缺省TTL值的，如果你想将自己的操作系统的TTL值改为其它操作系统的ICMP回显应答值，请改变DefaultTTL的键值，要注意它的键值为16进制。

如何禁止别人ping自己的主机（2000自带）

我的电脑-控制面板-管理工具-本地安全策略-ip安全策略

这是2000给我们的配置ip管理的工具，我这里只说一下如何禁止别人ping我的主机。

共有四个步骤：

1。建立禁ping 规则

2。建立禁止/允许规则

3。把这两个规则联系在一起

4。指派

详细：

1。右击ip安全策略-管理ip筛选器表和筛选器操作-ip筛选器列表-添加：名称：ping;描述：ping;(勾选“使用添加向导”),---添加-下一步：指定源/目的ip ,协议类型(icmp),下一步直至完成，关闭此对话框。

2。管理ip筛选器表和筛选器操作-管理筛选器操作-添加(勾选“使用添加向导”)-下一步：名称：refuse;描述:refuse--下一步：阻止-下一步直至完成。

3。右击ip安全策略-创建ip安全策略-下一步：名称：禁止ping；--下一步：取消激活默认响应规则-下一步：选中选中“编辑属性“-完成。然后再“禁止ping属性“上-添加(勾选“使用添加向导”)-下一步直至“身份验证方法”；选第三项，输入共享字串-下一步：在ip筛选器列表里选“ping--下一步：选“refuse-下一步到完成。

这是你在“本地安全设置“右侧会看到“禁止ping“这条规则，但是现在他还没有起作用。

4。右击“禁止ping“--指派。

这回一条禁止别人ping自己的机器的ip策略完成了。

赶快找个机器试试，自己的机器不行。会提示：请求超时（timeout).

以上只是一条小得的ip过滤。你可以自己制作其他的ip策略。
<注:此回答借鉴 ljpbxh027 - 首席运营官 >

‘玖’ centos 怎么配置ipsec 连接

先通过 #ifconfig获取网卡Mac地址。然后按照步骤操作重新配置连接linux的网卡IP地址是存放在文件中的，这个配置文件在/etc/sysconfig/network-scripts下， 名称分别为ifcfg-eth0,ifcfg-eth1....如果你有一块网卡，就只有ifcfg-eth0一个文件

‘拾’ linux下的/etc是干什么用的为什么命名为etc

/etc是用来存放系统主要的配置文件，例如人员的账号密码文件、各种服务的起始文件等。一般来说，这个目录下的各文件属性是可以让一般用户用户查阅的，但是只有root有权利修改。

早期UNIX中，贝尔实验室的解释是：etcetra directory 。 etc. 就是Et cetra。表示其他、等等什么的，英语里能常常看都这个缩写的。是用来放其他不能归类到其他目录中的内容。

后来FHS规定用来放配置文件，就解释为："Editable Text Configuration" 或者 "Extended Tool Chest"。

(10)linuxipsec配置扩展阅读

/etc下的目录

1、/etc/passwd

用户数据库，其中的域给出了用户名、真实姓名、家目录、加密的口令和用户的其他信息.

2、/etc/mtab

当前安装的文件系统列表，由scripts初始化，并由mount 命令自动更新.需要一个当前安装的文件系统的列表时使用，例如df命令。

3、/etc/shadow

在安装了影子口令软件的系统上的影子口令文件.影子口令文件将/etc/passwd 文件中的加密口令移动到/etc/shadow中，而后者只对root可读，这使破译口令更困难。

4、/etc/securetty

确认安全终端，即哪个终端允许root登录.一般只列出虚拟控制台，这样就不可能通过modem或网络闯入系统并得到超级用户特权。

5、/etc/shells

列出可信任的shell，chsh 命令允许用户在本文件指定范围内改变登录shell.提供一台机器FTP服务的服务进程ftpd检查用户shell是否列在 /etc/shells 文件中，如果不是将不允许该用户登录。

6、/etc/termcap

终端性能数据库，说明不同的终端用什么"转义序列"控制。写程序时不直接输出转义序列(这样只能工作于特定品牌的终端)，而是从/etc/termcap中查找要做的工作的正确序列。这样，多数的程序可以在多数终端上运行。